活动目录集成区域
要实现活动目录集成区域, DNS Server必须装有活动目录的DC。因为集成后DNS的区域数据库文件变成了活动目录的一部分,它的复制被包含在活动目录的复制中,所以不会再发生DNS区域传输(Zone Transfer)。但仍然能向非活动目录集成的辅助服务器执行区域传输,避免了主服务器失败后,DNS记录无法被更新。
安装和设置DNS以支持活动目录
若在安装活动目录时同时安装DNS,操作系统会自动配置DNS,并创建与活动目录域同名的DNS正向查询区域、配置此正向查询区域与活动目录集成。
活动目录对DNS的要求
◆ 支持SRV记录(强制);
◆ 支持动态更新协议(推荐);
◆ 支持增量区域传输(推荐)。
活动目录的用户登录名
主用户名(User Principal Name)
主用户名的格式同E-mail地址,例如,john@cyc.com,john称为主用户名前缀,cyc.com称为主用户名后缀,一般为根域的域名。主用户名只能用于登录Windows 2000的网络。
用户登录名(User Logon Name)
用于Pre-Windows 2000的环境或Windows 2000;登录时需要用户名和域名。
用户名惟一性原则
◆ 全名在所属的容器内惟一;
◆ 用户登录名在所属的域内惟一;
◆ 主用户名在整个森林内惟一。
活动目录中的组
全局组(Global Groups);
域本地组(Domain Local Groups);
通用组(Universal Groups):通用组一般用于多域的情况,通用组的成员信息保存在GC中。尽量避免通用组直接包含用户账号成员,而使用全局组作为通用组的成员。
在域中使用组的策略
使用A-G-DL-P策略;
使用A-G-G-DL-P策略;
使用A-G-U-DL-P策略。
这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。其余类推。
在活动目录中出版资源
所有Windows 2000的共享打印机都被自动出版在活动目录中;
删除打印机时也会自动删除活动目录中的打印机;
打印服务器负责在活动目录中出版打印机;
当修改打印机属性时,会自动更新活动目录中打印机的属性。
活动目录安全组件
安全主体(Security Principals)
安全主体是一个能够对它分配权限的对象,例如,用户、组和计算机;
每一个Windows 2000域中的安全主体都有一个惟一的安全标识符。
安全标识符(Security Identifier——SIDs)
安全标识符是用来标识一个安全主体的一个数值,它在这个主体被创建时产生,绝对不会重用。Windows 2000中的访问控制机制是基于SIDs,而不是基于名字。
安全描述符(Security Descriptors)
安全描述符是包含与一个可以设置安全对象相关的安全信息的数据结构,主要包括以下内容:
头部:安全描述符的版本信息和一组控制标志;
所有者:此对象所有者的SID;
主要组:所有者所属的主要组的SID;
DACL(Discretionary Access Control List):用户对此对象的访问控制列表;
SACL (System Access Control List):对用户进行审核的访问控制列表。
如果在一个对象上设置了权限,这个对象的安全描述符中将包含一个DACL。DACL中包含允许或拒绝访问这个对象的用户和组的SIDs;如果还对这个对象设置了审核,它的安全描述符中还包含一个SACL。
活动目录权限
权限是一种对象所有者的授权,通过授权,用户可以对特殊对象进行操作。如果对象是所有者,可以分派给其他用户或组部分或全部任务的权限,还可以分派所有权的权限。
◆ 允许权限或拒绝权限:拒绝权限比任何允许权限优先级高;
◆ 间接否定或直接否定(Implicitly Deny or Explicitly Deny):例如不是明确指定的操作权限是间接否定;
◆ 标准权限和特殊权限:标准权限是经常分派的权限,而特殊权限是对分派访问权限的更细致的控制:
◆ 完全控制;
◆ 读出:查看对象和对象属性;
◆ 写入:修改对象内容和属性;
◆ 创建所有子对象:向OU中添加对象;
◆ 删除所有子对象:从OU中删除对象。
活动目录(Active Directory)基础(图)
0
相关文章
关注我们
